Fortinet | Threat Intelligence Insider LATAM

Sumário Executivo

Tentativas de ataque de força bruta em ascensão

De acordo com o Fortinet Threat Intelligence Insider Latin America, os ataques de força bruta estão muito ativos na região e estão entre as tentativas de ataque de invasão mais frequentes no segundo trimestre do ano. Alguns exemplos são o SSH.Connection.Brute.Force, uma tentativa de ataque de força bruta que consiste em várias solicitações de SSH destinadas a executar um login SSH de força bruta, lançado a uma velocidade de cerca de 200 vezes em 10 segundos. Outro exemplo é o SMB.Login.Brute.Force, uma detecção de pelo menos 500 logins SAMBA fracassados em um minuto, indicando um possível ataque de força bruta nos sistemas operacionais Microsoft Windows.

Com a transição maciça para o escritório em casa, os cibercriminosos encontram um número significativo de servidores RDP (Remote Desktop Protocol) configurados incorretamente, levando a mais ataques desse tipo.

O crescimento do trabalho remoto reacendeu o interesse dos cibercriminosos em ataques de força bruta, que são tentativas repetidas e sistemáticas de adivinhar uma credencial enviando diferentes nomes de usuário e senhas para tentar acessar um sistema.

Os ataques de força bruta são comumente usados para descriptografar algoritmos de criptografia ou obter senhas fracas, senhas de e-mail, credenciais de redes sociais, acesso Wi-Fi etc. O invasor tenta, através de mecanismos automáticos repetitivos, diversas tentativas quase simultâneas até alcançar o resultado bem-sucedido.

Campanhas de phishing maliciosas

Os resultados do Fortinet Threat Intelligence Insider Latin America para o primeiro semestre de 2020 revelam um aumento nas tentativas de atrair vítimas inocentes para acessar sites e links maliciosos ou fornecer informações pessoais por telefone sob o falso argumento da pandemia de covid-19 .

O FortiGuard Labs relatou um aumento significativo de vírus, muitos dos quais incluídos nesses anexos de phishing maliciosos.

Em abril, ocorreu o maior volume de campanhas de phishing por e-mail relacionadas à covid-19, foram mais de 4.250. O maior pico ocorreu em 2 de abril, quando a Fortinet relatou 330 campanhas de phishing por e-mail com o tema covid-19 em todo o mundo. Os números têm diminuído constantemente desde abril, com 3.590 campanhas de phishing por e-mail em maio e 2.841 em junho.

A maioria dos e-mails continha arquivos maliciosos .DOCX e .PDF anexados (.DOCX o mais alto), sendo as tentativas de ransomware as mais prevalentes.

Dicas

É essencial que as organizações tomem medidas para proteger seus funcionários remotos e para ajudá-los a proteger seus dispositivos e redes domésticas. Aqui estão algumas etapas fundamentais a serem consideradas:

Informe seus funcionários remotos e suas famílias sobre ameaças, como sites de phishing ou mal-intencionados, e sobre como detê-los. A Fortinet forneceu vários recursos gratuitos de treinamento para usuários, incluindo os dois primeiros níveis do nosso programa de treinamento NSE.
Revise suas ferramentas de segurança.
Verifique se os funcionários remotos possuem uma solução de conectividade VPN. Para uma segurança mais avançada, considere adicionar ferramentas para detectar e desativar ameaças ativas.
Verifique se a sede da sua empresa também está protegida, permitindo autenticação multifatorial. Considere também uma solução NAC para garantir que os dispositivos autenticados tenham acesso apenas aos recursos de rede necessários e para responder automaticamente aos dispositivos que estão se comportando de maneira anormal.
Como muitos ataques são baseados em phishing, é essencial que o seu gateway de e-mail seguro seja capaz de detectar e filtrar spam e ataques de phishing e remover anexos maliciosos.

A melhor maneira de mitigar ataques de força bruta é usar senhas fortes, mas usar senhas longas e complexas é apenas o primeiro passo para impedir esse tipo de ataque. É importante usar mecanismos de criptografia e que a organização limite o número de tentativas de login durante um determinado período, além de possuir outros mecanismos de autenticação robustos, como multifator, tokens ou validação de imagem (CAPTCHA).

Além disso, é importante investir em soluções de monitoramento e detecção capazes de identificar invasões de rede e comportamentos anômalos. A capacidade de responder automaticamente é crucial para evitar violações de dados.

Selecione o pais

Mexico

baixar PDF

FORTIGUARD AV TRENDS

Mexico AV TRENDS Q2-2020

Q2-2020 Top 10

Top	Nome	Contagem
1	W32/Frauder.ALT!tr.bdr	499,812
2	W32/Bancos.CFR!tr	134,051
3	W32/Tibs.HI@mm	101,594
4	W32/HexZone!tr	85,631
5	MSOffice/CVE_2017_11882.C!exploit	36,086
6	W32/Glupteba.B!tr	30,430
7	W32/BackDoor.BA!tr	15,758
8	W32/BitCoinMiner.BXPOTENTIALLYUNSAFE!tr	24,962
9	MSOffice/CVE_2017_11882.DMP!exploit	15,758
10	W32/Kazus.A!worm	14,951

Total top ten AV TRENDS:

973,267

W32/Frauder.ALT!tr.bdr

é classificado como Trojan com propriedades de backdoor. O Trojan Backdoor tem a capacidade de receber uma conexão remota de um hacker mal-intencionado e executar ações contra o sistema comprometido.

W32/Bancos.CFR!tr

é classificado como um Trojan. Suas atividades geralmente incluem o estabelecimento de conexões de acesso remoto, captura de entrada do teclado, coleta de informações do sistema, download / upload de arquivos, descarte de outros malwares no sistema infectado, execução de ataques de negação de serviço (DoS) e execução / encerramento de processos.

W32/Tibs.HI@mm

é classificado como vírus Mass-Mailer. O vírus Mass-Mailer geralmente captura endereços de email no sistema infectado e os usa como uma lista de destino.

FORTIGUARD IPS TRENDS

Mexico IPS TRENDS Q2-2020

Q2-2020 Top 10

Top	Nome	Contagem
1	Backdoor.DoublePulsar	267,515,398
2	SIPVicious.svcrack.Brute.Force.Login	244,063,773
3	SSH.Connection.Brute.Force	1,474,435
4	WordPress.xmlrpc.Pingback.DoS	2,160,092
5	SSL.Anonymous.Ciphers.Negotiation	2,799,442
6	HTTP.URI.SQL.Injection	1,273,245
7	POP3.Login.Brute.Force	1,631,734
8	Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass	7,018,760
9	SMTP.Login.Brute.Force	2,306,130
10	ThinkPHP.Controller.Parameter.Remote.Code.Execution	948,582

Total top ten IPS TRENDS:

531,191,591

Backdoor.DoublePulsar

Indica a detecção do DoublePulsar Backdoor. Os trojans backdoor têm a capacidade de conectar hosts remotos e executar ações contra o sistema comprometido. O DoublePulsar Backdoor foi revelado pelos vazamentos do Shadow Brokers em março de 2017 e foi usado no ataque de ransomware WannaCry em maio de 2017.

SIPVicious.svcrack.Brute.Force.Login

Isso indica a detecção de uma tentativa de logon de força bruta do SIPVicious svcrack. SIPVicious é um scanner SIP. Os atacantes remotos podem obter acesso ao serviço fornecido pelos sistemas vulneráveis.

SSH.Connection.Brute.Force

Indica a detecção de pelo menos 500 logins SAMBA com falha em um minuto, indicando um possível ataque de força bruta de logins SAMBA. Sistemas operacionais Microsoft Windows afetados.

FORTIGUARD BOTNET TRENDS

Mexico BOTNET TRENDS Q2-2020

Q2-2020 Top 10

Top	Nome	Contagem
1	Andromeda.Botnet	15,039,062
2	H-worm.Botnet	3,636,759
3	njRAT.Botnet	2,797,850
4	BadRabbit.Botnet	1,802,235
5	XorDDOS.Botnet	1,494,982
6	Mirai.Botnet	1,444,291
7	Emotet.Cridex.Botnet	1,407,020
8	Conficker.Botnet	1,129,335
9	Necurs.Botnet	1,100,769
10	Neurevt.Botnet	431,495

Total top ten BOTNET TRENDS:

30,283,798

Andromeda.Botnet

é uma botnet usada para distribuir malware com diferentes recursos, dependendo do comando fornecido pelo servidor de comando e controle (C&C). O kit de ferramentas para essa botnet pode ser obtido na Internet subterrânea e está sendo constantemente atualizado.

H-worm.Botnet

é um tipo de bot de malware que pode executar muitas tarefas maliciosas, como baixar e executar malware adicional, receber comandos de um servidor de controle e retransmitir informações específicas.

njRAT.Botnet

Isso indica que um sistema pode estar infectado pelo njRAT Botnet. Compromisso do sistema: invasores remotos podem obter controle de sistemas vulneráveis.